Existe uma maneira de atualizar a associação ao grupo de computadores sem reiniciar?

17

Estou usando o Windows Server 2008 R2 e tenho um serviço do Windows em execução na conta "serviço de rede" no computador ComputerA. Este serviço do Windows deseja acessar um grupo de compartilhamento (em outro computador ComputerB) que conceda permissão de leitura a um grupo GroupA. Então, preciso adicionar a conta de computador do ComputerA ao GroupA e reiniciar o ComputerA.

Minha pergunta é: existe uma maneira de permitir que os membros do grupo entrem em vigor imediatamente sem reiniciar o ComputerA?

windows active-directory groups pkuneal
fonte

Respostas:

24 
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!

PSExec é um download gratuito do SysInternals da Microsoft.

Para esclarecer qualquer confusão, esse processo atualizará absolutamente as associações de grupo de um computador e permitirá que uma diretiva de grupo que se aplica a um grupo de segurança se aplique agora ao computador, sem reinicializá-lo. Isso foi testado e verificado no Windows Server 2012 R2 e Windows Server 2008 R2 e em um grupo de segurança universal. A versão curta seria:

  • psexec -s -i -d cmd.exe
  • klist tgt (veja o ticket atual, anote o tamanho. Observe também que, como você está executando como sistema, o ID de logon atual é 0x3e7)
  • Adicione o computador ao grupo de segurança. (Reserve tempo para replicar, se aplicável)
  • klist purge
  • nltest /dsgetdc:domain.com (execute este ou qualquer outro comando que se conecte a um recurso de rede e force uma solicitação TGT)
  • klist tgt (veja o ticket atual, anote o tamanho. Ele deve ser um pouco maior. Observe que os grupos / whoami não refletirão a nova associação)

Nesse ponto, o prompt de comando do sistema pode ser encerrado.

  • gpupdate /force
  • gpresult /h gpresult.html

Veja o gpreport, ele deve agora mostrar que a política de grupo é aplicada.

Greg Askew
fonte
Posso confirmar isso só trabalhou em Server 2012 R2 e Servidor 2016
KellCOMnet
Não estou trabalhando para mim no Windows Server 2012 R2 (para o servidor funcional, DCs, domínio e nível funcional da floresta): posso limpar os tíquetes Kerberos, mas nunca recebi o novo grupo (nem o klist tgttamanho muda nem whoami /groupsreflete o novo grupo) . Eu verifiquei que a alteração no grupo é replicada por todos os controladores de domínio.
curropar
Bem, conforme shellandco.net/blog/2016/07/07/… , descobri que nenhuma dessas verificações reflete a nova associação, mas é realmente aplicada. Isso é verdade para o meu caso: agora posso executar a ação dependendo do novo grupo, obrigado!
curropar 22/10/19
2

Eu acho que a restauração do serviço netlogon faz a mesma coisa, sem saber qual seria o impacto geral. Certamente, porém, os usuários desconectariam temporariamente os usuários.

Tony Roth
fonte
Para uma estação de trabalho Windows 7 é esta solução um sem reiniciar
321X
Na minha experiência, reiniciar o serviço não teve efeito sobre a participação no grupo.
PHLiGHT
-1

No meu domínio só funciona isso para uma unidade de rede:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Diego Sebastian
fonte